0
0
O grupo de espionagem cibernética que a Microsoft chama de Nobelium – também conhecido como APT 29 e Cozy Bear – obteve “informações básicas da conta” sobre um número limitado de clientes como parte do esforço. O mesmo grupo é o principal suspeito da violação de dados na contratada federal SolarWinds, um hack no qual os espiões também violaram nove agências federais dos Estados Unidos e dezenas de empresas de tecnologia, segundo o site Cyberscoop.
“Esta atividade recente não teve sucesso, e a maioria dos alvos não foi comprometida com sucesso – estamos cientes de três entidades comprometidas até o momento”, disse a postagem no blog da Microsoft . “Todos os clientes que foram comprometidos ou visados ??estão sendo contatados por meio de nosso processo de notificação de estado.”
Os aparentes hackers russos usaram malware que rouba informações para infectar uma máquina de suporte ao cliente e, em seguida, usaram os dados encontrados nesse dispositivo para visar empresas de TI, agências governamentais e organizações não governamentais e grupos de reflexão. Os alvos estavam localizados em 36 países.
Em um e-mail para os clientes, a Microsoft avisou que os invasores podem ter acessado informações sobre casos de suporte, metadados de contas de assinatura e informações de cobrança. O pessoal de segurança observou a atividade nas organizações afetadas já em 17 de maio, de acordo com o e-mail. A empresa não detectou mais nenhuma atividade depois de 31 de maio.
Cozy Bear é o mesmo grupo de hackers por trás de uma campanha de phishing na qual os invasores se fazem passar pela Agência dos Estados Unidos para o Desenvolvimento Internacional , uma agência governamental que financia programas de desenvolvimento em todo o mundo, para tentar se infiltrar em 150 organizações em 24 países, disse a Microsoft em maio.
Comunicado da Microsoft de 25 de junho:
O Microsoft Threat Intelligence Center está rastreando novas atividades do agente de ameaças NOBELIUM. Nossa investigação sobre os métodos e táticas que estão sendo usados ??continua, mas vimos invasão de senha e ataques de força bruta e queremos compartilhar alguns detalhes para ajudar nossos clientes e comunidades a se protegerem.
Esta atividade recente não teve sucesso, e a maioria dos alvos não foi comprometida com sucesso – temos conhecimento de três entidades comprometidas até o momento. Todos os clientes que foram comprometidos ou visados ??estão sendo contatados por meio de nosso processo de notificação de estado nacional.
Esse tipo de atividade não é novo, e continuamos a recomendar a todos que tomem precauções de segurança, como habilitar a autenticação multifator para proteger seus ambientes deste e de ataques semelhantes. Esta atividade foi direcionada a clientes específicos, principalmente empresas de TI (57%), seguido pelo governo (20%), e percentagens menores para organizações não governamentais e think tanks, bem como serviços financeiros. A atividade foi amplamente focada nos interesses dos EUA, cerca de 45%, seguido por 10% no Reino Unido, e números menores da Alemanha e do Canadá. Ao todo, 36 países foram visados.
Como parte de nossa investigação sobre essa atividade em andamento, também detectamos malware para roubo de informações em uma máquina pertencente a um de nossos agentes de suporte ao cliente com acesso a informações básicas de conta para um pequeno número de nossos clientes. O ator usou essas informações em alguns casos para lançar ataques altamente direcionados como parte de sua campanha mais ampla. Respondemos rapidamente, removemos o acesso e protegemos o dispositivo. A investigação está em andamento, mas podemos confirmar que nossos agentes de suporte estão configurados com o conjunto mínimo de permissões necessárias como parte de nossa abordagem de “acesso menos privilegiado” Zero Trust às informações do cliente. Estamos notificando todos os clientes afetados e os ajudando a garantir que suas contas permaneçam seguras.
FONTE: TI INSIDE